Hallo zusammen,

ich möchte keinen befallenen Rechner melden, sondern habe aufgrund eines konkreten Falles ein paar eher allgemeine Fragen zu den Fähigkeiten von Trojanern und Würmern.

Der Hintergrund:
Ich besitze privat keinen Internetanschluß; ich gehe stattdessen ins Internetcafe. Am Wochenende habe ich mir von einem Freund seine Bewerbungsunterlagen zum Gegenlesen zumailen lassen, diese auf einem USB-Stick gespeichert und mit nach Hause genommen. Dort hat mein Virenscanner (AVG) gleich mehrere Schadprogramme (Trojaner/Würmer) auf dem Stick gefunden und nach eigenen Angaben "geheilt". Die Bewerbungsdateien selbst hat er nicht bemängelt; stattdessen hat er ein paar .exe-Dateien auf dem Stick gefunden, die ich dort selbst nie gespeichert habe und die z. T. den Namen auf dem Stick vorhandener Verzeichnisse angenommen hatten oder "unverdächtige" Namen wie copy.exe oder host.exe.

Um herauszufinden, woher das Ungeziefer kommt, bin ich noch einmal in ein anderes Internetcafe, habe dort einen anderen Browser (IE statt Firefox) verwendet und -- solange der Stick angestöpselt war -- nur die Bewerbungsdateien (.doc und .rtf) heruntergeladen. Auch diesmal fand mein AVG wie beim ersten Mal die Schädlinge.

Frage 1:
Ist es möglich, daß eine infizierte Word- oder Rich Text-Datei nur beim Herunterladen aus dem Webmailer Schadprogramme installiert? Ist es dann möglich, wenn die Datei geöffnet wird (Zumindest in einem Fall habe ich das im Internetcafe getan; ich bin mir im zweiten Fall nicht mehr sicher)?

Frage 2:
Ist es möglich, daß eine infizierte .doc oder .rtf-Datei vom Virenscanner nicht erkannt wird, sondern nur die von ihnen "gespawnten" ausführbaren Schädlinge?

Möglicherweise offenbare ich damit eine grundsätzlich fehlerhafte Vorstellung davon, wie Trojaner und Viren arbeiten; Für mich ist die Frage aber wichtig, da ich meinen Freund natürlich warnen will, wenn er einen infizierten Rechner hat, ihn aber auch nicht unnötig in Panik versetzen will, wenn er dafür aus technischer Sicht gar nicht als Urheber der Schädlinge in Frage kommt. Allerdings frage ich mich dann, ob mein Stick zu dem Ungeziefer gekommen ist wie die Jungfrau zum Kinde...

Noch mehr Hintergrund:
Als der Scanner die Schädlinge zum ersten Mal gefunden hat, war ich unter Windows als Admin angemeldet, beim zweiten Mal mit eingeschränkten Rechten. Nun hat AVG in seinem "Virus Vault" vom Samstag drei Dateien:
1 * Trojan horse Generic.VDU
2 * Worm/Brontok.l

Vom Sonntag hat er vier Dateien:
1 * Trojan horse Generic.VDT
2 * Worm/Brontok.l
1 * AutoRun.AY; Dateiname autorun.inf

Ich vermute, daß ich dem Scanner beim ersten Mal bei einer Datei die Anweisung gegeben habe, sie gleich zu löschen, statt sie in den Vault zu verschieben; sicher bin ich mir allerdings nicht mehr. In den Test Results kann ich leider nicht nachvollziehen, wieviele Schädlinge beim ersten Mal gefunden wurden. Aber von der Anzahl her würde das gut passen, da mein Freund mir genau vier Dateien geschickt hat.

Frage 3:
Ist es möglich, daß eine .exe oder .inf Schaden anrichtet, ohne daß ich sie explizit aufgerufen habe? Ich bin nach dem Ableben meines alten Rechners vor kurzem von Win98 auf Vista umgestiegen; das warnt ja nun immer, wenn ein Programm installiert werden soll oder eine autorun-Datei starten möchte. Weder das eine noch das andere habe ich jemals explizit erlaubt, und der SP1 war installiert.

Frage 4:
der Unterschied zwischen .VDU und .VDT hat vermutlich die Ursache, daß der Trojaner einige seiner Eigenschaften selbst verändern kann, um seine Erkennung zu erschweren?

Frage 5:
Ich möchte herausfinden, woher die Schädlinge kommen, um den Besitzer des infizierten Rechners/ (Servers?) informieren zu können. Wenn mein Freund nicht in Frage kommt: Wie kann ich systematisch vorgehen, um die Quelle zu finden?

Ich würde mich sehr freuen, wenn jemand zu einem Teil (oder natürlich auch gerne allen) Fragen etwas sagen kann. Ich bitte auch gleich um Verständnis, wenn ich auf Rückfragen oder Antworten länger nicht reagiere -- Ich kann leider nur antworten, solange ich im Internetcafe bin.

Hallo nochmal,

meine dringendste Frage ist zu
AutoRun.AY

Laut SOPHOS verbreitet er sich ja nun über USB-Sticks; Wie kommt er aber darauf? Ausschließlich über bereits befallene Rechner? In dem Fall hätte ich das Pech gehabt, zweimal in Folge in unterschiedlichen Internetcafes diesem Mistkerl begegnet zu sein, davor aber jahrelang gar nicht. Außerdem hätte er in beiden Fällen zwei Brontok.l und einen Trojan horse Generic.VDU bzw. VDT mitgenommen, die sich ja eigentlich nur über Email verbreiten.

Können der AutoRun.AY und seine Lumpane auch durch das Öffnen einer echten .doc oder .rtf (also keine xy.rtf.exe) übertragen werden? Ich kann mir das zwar technisch nicht vorstellen, aber ich bin blos Laie und immer wieder überrascht, was alles möglich ist, und das ist das einzige, was ich wohl in beiden Fällen im Internetcafe getan habe.

.inf-Dateien dienen ja zur Installation von Software; kann eine autorun.inf auf einem USB-Stick alleine durch das Anstöpseln eines USB-Sticks auf einem Rechner Schaden anrichten? Jaa, ich weiß, das sind lauter DAU-Fragen...

Falls jemand Details zur Arbeitsweise des Autorun.AY kennt, würde ich mich über eine kurze Info sehr freuen.

Pooka